Interessanter Bericht:
https://www.zdf.de/nachrichten/heute/illegaler-datenhandel-21-millionen-passwoerter-im-angebot-100.html

Hier kann man überprüfen, ob man betroffen ist:
https://haveibeenpwned.com/


Sammelsurium aus unterschiedlichen Quellen

"Der Datendiebstahl in der Datensammlung Collection Nr. 1 von 773 Millionen", betitelte Troy Hunt seinen heutigen Eintrag. Es geht dabei um 773 Millionen Mail-Adressen und 21 Millionen Passwörter. Das klingt zunächst einmal hochdramatisch und scheint gigantisch. Doch auf den zweiten Blick entpuppt sich die von Troy Hunt "Collection #1" genannte Datensammlung als ziemliches Sammelsurium. Die Daten stammen aus sehr unterschiedlichen Hacks und Datenleaks der vergangenen Monate.

Das Tool ist uesless und prüft nur bei welchem mail Provider man ist und obs da Hacks gabe, hostet man mails selber sieht es gut aus, ist man bei gmail oder xahoo sieht es im tool schlecht aus

naja HIBP (https://haveibeenpwned.com/) prüft schon explizit ob eine Mailadresse im Zusammenhang mit einem veröffentlichten Hack stehen. Sollte eine mailadresse deines privaten Mailservers mal in einer von Hunts (http://https://www.troyhunt.com/) gesammelten Veröffentlichungen sein, würde die auch bei HIBP als "pwned" erscheinen

Die aktuelle Geschichte ist mich Zweischneidig... Zum einen enthält die Veröffentlichung eine hohe Anzahl von Mailadressen, die aber wahrscheinlich über Jahre gesammelt wurden. Die veröffentliche Liste enthält nur Mailaddressen ohne Passwörter. In der selben Veröffentlichung ist, zum anderen, eine Liste mit einer großen Anzahl Passwörter enthalten (ohne Bezug zu irgendeiner Benutzerkennung). Ich habe leider noch keine Details zur Auswertung der Passwort Daten gesehen. Unter Umständen ist das auch nur ein wildes Sammelsurium aus Passwortlisten, die schon lange öffentlich sind.

Die aktuellen Nachrichten regen hoffentlich zumindest zum Nachdenken über z.B. eine Zwei-Faktor-Authentifizierung - wenn möglich, wie z.B. bei Google und PayPal - und unterschiedliche Passwörter bei verschiedenen Konten an.

Sich mit der gleichen Mail-Adresse UND dem gleichen Passwort bei vielen Diensten anzumelden, ist fahrlässig.

@Fuexline: Wenn Du mit Deinen selbst verwalteten E-Mail-Accounts auch kommunizierst, ist die Wahrscheinlichkeit dennoch groß, dass sie irgendwo von Datensammlern abgegriffen werden. Und haveibeenpwned prüft eben nicht nur, bei welchem Provider die E-Mail-Adresse gehostet wird. Ich habe es gestern mit einigen Kollegenadressen getestet. Die meisten wurden bei dem gleichen bekannten Angriff abgefischt, aber nicht alle.

Sich mit der gleichen Mail-Adresse UND dem gleichen Passwort bei vielen Diensten anzumelden, ist fahrlässig.
Aber bisher ohne Probleme...

Die meisten Fahrlässigkeiten funtionieren lange ohne Probleme. Der Krug geht so lange zum Brunnen, bis er bricht.

Dem widerspreche ich nicht.
Meine Emailadresse mit dem dazugehörigen Passwort existiert seit 21 Jahren. Habe wohl einst das richtige gewählt. :roll:

So mal am Rande. Meine erste Emailadresse gab es bei germanynet. Irgendwas mit 106.... usw. Die kenne ich nicht mehr. Danach folgte "nexgo.de", dann "arcor.de". Nexgo gibt es nicht mehr, Arcor gibt es nicht mehr, dennoch, beide funktionieren noch heute mit ein und demselben Passwort, ohne dass es je gehackt wurden.

Aber bisher ohne Probleme...

Klug ist das ganz sicher nicht.
Auch spätere Änderungen sind dann echt aufwendig.
Als ich alle meine Account-Mailadressen von webdomain in maildomain umbenannt habe war ich ordentlich beschäftigt. Nicht nur ändern, sondern auch erneut korrekt dokumentieren.

Klug ist das ganz sicher nicht.
Scheinbar doch, wenn es 21 Jahre lang nicht gehakt wurde. :lol:

@flyppo: Und bei Amazon, eBay, kleinen Krautern usw. meldest Du Dich mit der immer gleichen Kombination aus E-Mail-Adresse und Passwort an? Wohl hoffentlich nicht?

Das reine Abgreifen von E-Mail-Adressen ist ja erst mal nicht so kritisch, wenn man beim Lesen ankommender Mails das Gehirn nicht komplett ausschaltet. Ich habe schon mal Phishing-Spam mit korrekter Anrede, E-Mail-Adresse und Telefonnummer erhalten. Gelöscht und fertig, da es ungezielte Angriffsversuche waren. KI wird aber sicher auch bei kriminellen Angreifern mehr und mehr eine größere Rolle spielen, so dass gezieltere Angriffe auch ohne großen Personalaufwand stattfinden könnten.

P.S.: scheinbar (https://www.duden.de/rechtschreibung/scheinbar_imaginaer_vermeintlich) ;)

@flyppo: Und bei Amazon, eBay, kleinen Krautern usw. meldest Du Dich mit der immer gleichen Kombination aus E-Mail-Adresse und Passwort an? Wohl hoffentlich nicht?
Ob du mir das abnimmst oder nicht, weder bei Amazon noch bei Ibäh bin ich. :flop:

Lies mal genauer. Ich schrieb auch von kleinen Krautern usw.. Die können nicht angegriffen werden?

Falls Du aber nirgendwo außerhalb Deines Privatrechners ein Konto haben solltest, bist Du in der Tat relativ sicher. Dann solltest Du das aber auch erwähnen und nicht durch Weglassen von Informationen andere - vielleicht unbewusst - davon abhalten, sich mal ein wenig mit der Datensicherheit auseinanderzusetzen.

P.S.: Die Firma heißt eBay und nicht Ibäh. :roll:

Man wird bei allen Aktivitäten im Internet beobachtet und ausspioniert. So ist das eben.

Wie schnell das geht, erlebe ich jeden Tag. Ich brauche nur nach irgendeiner Technik bei Google zu suchen, und anschließen zu bestimmten Seiten umzuschalten, schon bekommen ich Werbung zu dem Thema angeboten. Manchmal ist es auch lustig. Ich wollte wissen, wie mit einer Atombatterie in Satelliten Strom erzeugt wird. Kurz darauf bekam ich Werbung zu Atombatterien. Ich weiß bis heute nicht, wozu ich die verwenden könnte, wenn ich denn das neötige Kleingeld hätte.

In meinem Dummy-E-Mailkonto laufen zu gewissen Zeiten gehäuft Kreditangebote, Dateangebote aus Rumänien usw. auf. Es wurden mir auch schon E-Maillisten angeboten (xxx€ pro 1000 Stück). Da ich diese E-Mails sofort lösche, hält sich das Ganze im Rahmen. Die Spammer geben dann irgendwann auf.

Inzwischen entwickeln wir uns zum Überwachungsstaat. Die Datensammelwut des Staates und der Wirtschaft kennt keine Grenzen mehr. Je mehr Daten zwischengelagert und längere Zeit gespeichert werden, um so mehr können auch abhanden kommen. Wenn jemand erst einmal einen Zugang zu einer Datensammlung hat, kann er bei den heutigen Netzgeschwindigkeiten unglaubliche Textmengen in kürzester Zeit klauen. Das ist nun mal die ungeschminkte Realität, mit der wir leben müssen.

Leider gehören unsere Politiker zu den ahnunglosesten Menschen in diesem Land. Das ist auch der Grund, warum sich an der Misere nichts ändern wird. Statt selber mal nachzudenken, holen sie sich lieber Beraterfirmen ins Haus, die nur am Geldverdienen interessiert sind. Leichter kann man nicht an Daten, Informationen und Geld kommen.

Ich könnte zu diesem Thema noch viel sagen, weil ich einen großen Teil meines Lebens in der IT gearbeitet habe. Ich lasse es und gebe euch zum Schluss noch ein wenig Lesestoff mit auf den Weg. Stichwort: Datensammelwut

https://www.sueddeutsche.de/digital/digitale-privatsphaere-datensammelwut-gefaehrdet-die-demokratie-1.3916697

Liege ich jetzt komplett falsch? Ich hatte gedacht, es wurden nur Mail-Adressen veröffentlicht, nicht die Accounts gehackt. :?::?:
Jedenfalls bin ich auf die Seite gegangen, wo mach schauen kann, ob die eigene Mail-Anschrift dabei ist und musste feststellen, dass eine uralte Adresse von mir dabei ist. Über diesen Account erhalte ich seit 15 Jahren nur noch Werbemüll. Trotzdem habe ich mich mal hingesetzt und ein paar Kennwörter geändert. Hoffentlich vergesse ich die jetzt nicht :crazy:

Ich habe mir meine Änderungen aufgeschrieben und mach damit Gedächtnistraining:lol:
Man wird ja nicht jünger:lol:

Das Tool ist uesless

» Übersetzung(en)

useless {adj}
nutzlos
sinnlos
wertlos
unbrauchbar
unnütz
zwecklos
untauglich

:roll::roll:

Liege ich jetzt komplett falsch? Ich hatte gedacht, es wurden nur Mail-Adressen veröffentlicht, nicht die Accounts gehackt. :?::?:
(...) Kennwörter geändert. Hoffentlich vergesse ich die jetzt nicht :crazy:

Kennwörter dokumentieren > Keepass! :top: Die Veröffentlichungen betreffen Login+Passwort Kombinationen, welche aufgrund von IT-Bugs im Klartext extrahiert werden konnten und für einen Hack verwendet werden können. Das sind zwei Schritte - der erste wurde zumindest mit dem Leak getan...

Beste Grüße, meshua

In meinem Dummy-E-Mailkonto laufen zu gewissen Zeiten gehäuft Kreditangebote, Dateangebote aus Rumänien usw. auf. Es wurden mir auch schon E-Maillisten angeboten (xxx€ pro 1000 Stück). Da ich diese E-Mails sofort lösche, hält sich das Ganze im Rahmen. Die Spammer geben dann irgendwann auf.

Ich bekomme sowas erst gar nicht. Warum auch immer.
Das gute ist, über den Adressnamen weiss ich, was die Quelle ist und kann die Mailadresse sperren und mich bei der Quelle nie wieder anmelden.

@Traumtraegerin
@Dornwald46
Schaut Euch LastPass an. Gibt es für alle gängigen Betriebssysteme und als Plugin für diverse Browser.

Außerdem macht es durchaus Sinn, wenn immer möglich, 2-Step Verification zu aktivieren.

@Traumtraegerin
@Dornwald46
Schaut Euch LastPass an. Gibt es für alle gängigen Betriebssysteme und als Plugin für diverse Browser.

"LastPass is a freemium password manager that stores encrypted passwords online" (Wikipedia.org)

Es muss jeder selbst wissen, ob er seine sensiblen Daten einer Closed-Source Datenwolke anvertrauen möchte...bisherige Breaches sind dort auch beschrieben.:P

Grüße, meshua

bei dem Tool ging es doch eher darum ob man schon gehackt worden ist und seine userdaten Passwörter im Umlauf sind, deshalb die Warnung das man sein Passwort ändern sollte.

Vor Datensammelwut im Web ist keiner sicher, ein mal in nen Nswletter eingetragen oder irgendwo in nem unsicheren Webshop der gehackt wird was bestellt und du hast 999 Viagra Mails und Kredit Angebote.

...
Das gute ist, über den Adressnamen weiss ich, was die Quelle ist und kann die Mailadresse sperren und mich bei der Quelle nie wieder anmelden.

Hab ich auch so.

@meshua:
Richtig, aber ein Nachteil ist immer...

hermannmueller@gmx.de
h.meyer1958@web.de
uwescholz24@gmail.com
anke.mueller@googlemail.com

Diese Zeichenketten hab ich mir gerade live ausgedacht, quasi aus den Fingern gesogen, ohne zu wissen, ob es die als E-Mail wirklich gibt.
Ist das jetzt ein Verstoß gegen den Datenschutz, diese Zeichenketten zu posten?
Für mich wäre das nämlich nur ein eigenes Gedicht, was ich verkaufen wöllte.
Ich frage bewusst pragmatisch, blöd, typisch deutsch ;-)